Neste documento, descrevemos como ativar e usar o gerenciamento da postura de segurança de dados (DSPM).
Ativar DSPM
Conclua as etapas a seguir para ativar o DSPM no nível da organização:
-
Para receber as permissões necessárias para ativar a DSPM, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização:
-
Administrador da organização (
roles/resourcemanager.organizationAdmin) -
Administrador da Central de segurança (
roles/securitycenter.admin)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
-
Administrador da organização (
- Ative a DSPM usando um dos seguintes métodos:
- Se você ainda não ativou o Security Command Center na sua organização, ative o Security Command Center Enterprise.
- Se você já ativou o nível de serviço Enterprise do Security Command Center, adicione o DSPM usando a página Ativar DSPM.
- Ative a descoberta dos recursos que você quer proteger com o DSPM.
Quando você ativa a DSPM, os seguintes serviços também são ativados:
- O Gerenciador de compliance para criar, aplicar e gerenciar estruturas de segurança de dados e controles de nuvem.
- Proteção de Dados Sensíveis para usar indicadores de sensibilidade de dados na avaliação de risco de dados padrão.
- Event Threat Detection (parte do Security Command Center) no nível da organização para usar o controle de nuvem de governança de acesso a dados e o controle de nuvem de governança de fluxo de dados
- A Proteção de IA ajuda a proteger o ciclo de vida das suas cargas de trabalho de IA.
O agente de serviço da DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) é criado quando você ativa a DSPM.
Para informações sobre os papéis do gerenciamento de identidade e acesso da DSPM, consulte Identity and Access Management para ativações no nível da organização.
Usar o painel do DSPM
Siga estas etapas para usar o painel e analisar sua postura de segurança de dados.
-
Para receber as permissões necessárias para usar o painel do DSPM, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização:
-
Administrador de gerenciamento de postura de segurança de dados (
roles/dspm.admin) -
Administrador da Central de segurança (
roles/securitycenter.admin) -
Para acesso somente leitura:
-
Leitor do gerenciamento da postura de segurança de dados (
roles/dspm.viewer) -
Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer)
-
Leitor do gerenciamento da postura de segurança de dados (
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
-
Administrador de gerenciamento de postura de segurança de dados (
- Use o painel do DSPM para descoberta de dados e análise de riscos. Ao ativar o DSPM, você pode avaliar imediatamente como seu ambiente se alinha ao framework de princípios essenciais de segurança e privacidade de dados.
No console, clique na guia Proteção de dados em Segurança e compliance de dados.
Acessar o painel de segurança de dados
As seguintes informações estão disponíveis:
- Explorador de mapa de dados
- Descobertas de segurança de dados
- Insights sobre controles e estruturas de segurança de dados aplicados
Use essas informações para analisar e corrigir descobertas para que seu ambiente se alinhe melhor aos requisitos de segurança e compliance.
Ao acessar o painel no nível da organização e implantar aplicativos em uma pasta habilitada para apps, é possível selecionar um aplicativo para filtrar o painel e mostrar apenas as descobertas e os insights relacionados a ele. Considere as seguintes latências de verificação ao analisar os dados:
- O painel de principais descobertas pode mostrar dados desatualizados de configuração de recursos. Por exemplo, o recurso principal de uma descoberta pode estar associado a um aplicativo desatualizado.
- O seletor de aplicativos pode não mostrar os aplicativos e os registros de recursos criados nas últimas 24 horas.
O explorador do mapa de dados pode levar até 24 horas após a ativação do Security Command Center para preencher todos os dados do Security Command Center e do Inventário de recursos do Cloud.
Criar frameworks personalizados de segurança de dados
Se necessário, copie a estrutura de princípios básicos de segurança e privacidade de dados e personalize para atender aos seus requisitos de segurança e conformidade de dados. Para instruções, consulte Aplicar um framework.
Implantar controles avançados de segurança de dados na nuvem
Se necessário, adicione os controles avançados de segurança de dados na nuvem a estruturas personalizadas. Esses controles exigem configuração adicional antes da implantação. Para instruções sobre como implantar controles e frameworks de nuvem, consulte Aplicar um framework.
É possível implantar frameworks que incluem controles avançados de segurança de dados na nuvem para sua organização, pastas, projetos e aplicativos em pastas ativadas por apps no App Hub. Para implantar os controles avançados de segurança de dados na nuvem em aplicativos, a estrutura só pode incluir esses controles. Selecione a pasta habilitada para apps e o aplicativo que você quer monitorar com os controles na nuvem. Não há suporte para aplicativos em projetos host.
Considere o seguinte:
Analise as informações de cada controle avançado de segurança de dados na nuvem para conhecer as limitações.
Conclua as tarefas de cada regra, conforme descrito na tabela a seguir.
Regra Configurações avançadas Controle de acesso a dados na nuvem - Ative os registros de auditoria de acesso a dados para o Cloud Storage e a Vertex AI (quando aplicável no seu ambiente).
Defina o tipo de permissão de acesso a dados como
DATA_READ. Ative os registros de acesso a dados no nível da organização ou do projeto, dependendo de onde você aplica o controle de nuvem de governança de acesso a dados.Verifique se apenas os principais autorizados estão isentos da geração de registros de auditoria. As principais isentas do registro de auditoria também são isentas do DSPM.
- Adicione um ou mais principais permitidos (até um máximo de 200
principais) usando um dos seguintes formatos:
- Se for um usuário,
principal://goog/subject/USER_EMAIL_ADDRESSExemplo:
principal://goog/subject/alex@example.com - Para um grupo,
principalSet://goog/group/GROUP_EMAIL_ADDRESSExemplo:
principalSet://goog/group/my-group@example.com
- Se for um usuário,
Controle de governança de fluxo de dados na nuvem Ative os registros de auditoria de acesso a dados para o Cloud Storage e a Vertex AI(quando aplicável no seu ambiente).
Defina o tipo de permissão de acesso a dados como
DATA_READ. Ative os registros de acesso a dados no nível da organização ou do projeto, dependendo de onde você aplica o controle de nuvem de governança de acesso a dados.Verifique se apenas os principais autorizados estão isentos da geração de registros de auditoria. As principais isentas do registro de auditoria também são isentas da DSPM.
- Especifique os países permitidos usando os códigos definidos no Unicode Common Locale Data Repository (CLDR).
Controle de proteção de dados e governança de chaves na nuvem Ative a CMEK no BigQuery e na Vertex AI. Controles de exclusão de dados na nuvem Defina os períodos de retenção. Por exemplo, para definir um período de retenção de 90 dias em segundos, defina o período de armazenamento como 777600.- Ative os registros de auditoria de acesso a dados para o Cloud Storage e a Vertex AI (quando aplicável no seu ambiente).